-
09/04/2020
-
110
-
1.004 bài viết
LockBit và nghệ thuật ẩn mình: Khi mã độc cải trang thành hệ thống
Nhóm điều hành mã độc LockBit ngày càng hoàn thiện các chiêu thức tấn công, biến chúng trở nên khó phát hiện hơn bao giờ hết. Chúng kết hợp kỹ thuật DLL sideloading với thủ thuật cải trang tinh vi, khiến mã độc ngụy trang thành phần mềm hợp pháp và lặng lẽ xâm nhập hệ thống mà không bị các giải pháp bảo mật truyền thống phát hiện.
Trong các chiến dịch gần đây, LockBit đã sử dụng chiến thuật này với mức độ tinh vi cao. Nhóm đã đóng gói DLL độc hại cùng với các tệp thực thi hợp pháp đã được ký số. Điển hình như Jarsigner.exe đi kèm jli.dll từ nền tảng Java, MpCmdRun.exe đi kèm mpclient.dll thuộc Windows Defender, hoặc Clink_x86.exe kèm theo clink_dll_x86.dll của công cụ dòng lệnh Clink. Khi người dùng hoặc hệ thống kích hoạt các tệp thực thi này, các thư viện mã độc sẽ được nạp theo và âm thầm triển khai payload mà không gây cảnh báo.
Chuỗi tấn công của LockBit cho thấy mức độ tổ chức rất cao. Quá trình xâm nhập thường bắt đầu bằng việc truy cập từ xa thông qua công cụ như MeshAgent hoặc TeamViewer. Sau đó, nhóm sử dụng NSSM để thiết lập trojan điều khiển từ xa hoạt động dưới dạng dịch vụ và dùng PsExec để thực thi lệnh với quyền quản trị hệ thống.
Khi đã có quyền kiểm soát, LockBit triển khai giai đoạn trinh sát bằng các tiện ích dòng lệnh như net.exe, nltest.exe và query.exe để thu thập thông tin về cấu trúc miền và quyền truy cập của người dùng. Các hoạt động đánh cắp thông tin xác thực được thực hiện bằng công cụ TokenUtils.exe nhằm thao túng token truy cập và Sd1.exe để trích xuất vé Kerberos.
Cuối cùng, mã độc được phân phối hàng loạt qua Group Policy. Payload mã hóa dữ liệu, các tệp thực thi hợp pháp dùng để thực hiện sideloading và tập lệnh PowerShell được phát tán đến toàn bộ hệ thống, đảm bảo khả năng lây lan sâu và nhanh trong môi trường doanh nghiệp.
Trước làn sóng tấn công lan rộng, các hãng bảo mật đã xây dựng hệ thống phòng thủ đa lớp. Bao gồm phát hiện mã độc dựa trên chữ ký tệp như Ransom.LockBit và Heur.AdvML.B!100, phân tích hành vi như SONAR.Ransomware variants, cùng các biện pháp ứng phó với hành vi bất thường như sử dụng PsExec hoặc truy cập tiến trình LSASS.
Giám sát lưu lượng mạng được tăng cường để phát hiện tín hiệu điều khiển từ xa và hoạt động của các công cụ như MeshAgent hay TeamViewer. Tuy nhiên, hiệu quả phòng thủ vẫn phụ thuộc lớn vào khả năng phát hiện sớm tại điểm cuối, cũng như mức độ chủ động của tổ chức trong việc cập nhật chiến lược bảo mật theo hướng linh hoạt và thích ứng.
Mã độc ẩn mình sau DLL hợp pháp
DLL sideloading là một kỹ thuật cho phép mã độc được thực thi thông qua các ứng dụng hợp pháp. Cơ chế này lợi dụng cách hệ điều hành tìm kiếm thư viện liên kết động, trong đó ứng dụng sẽ ưu tiên nạp các tệp DLL từ thư mục gần nhất trước khi tìm đến thư viện gốc. Kẻ tấn công tận dụng đặc điểm này để chèn các DLL độc hại có cùng tên vào thư mục đích, khiến ứng dụng vô tình tải nhầm và kích hoạt mã độc.Trong các chiến dịch gần đây, LockBit đã sử dụng chiến thuật này với mức độ tinh vi cao. Nhóm đã đóng gói DLL độc hại cùng với các tệp thực thi hợp pháp đã được ký số. Điển hình như Jarsigner.exe đi kèm jli.dll từ nền tảng Java, MpCmdRun.exe đi kèm mpclient.dll thuộc Windows Defender, hoặc Clink_x86.exe kèm theo clink_dll_x86.dll của công cụ dòng lệnh Clink. Khi người dùng hoặc hệ thống kích hoạt các tệp thực thi này, các thư viện mã độc sẽ được nạp theo và âm thầm triển khai payload mà không gây cảnh báo.
Ẩn mình tinh vi, tấn công có tổ chức theo nhiều lớp
Bên cạnh kỹ thuật DLL sideloading, LockBit còn áp dụng các thủ thuật cải trang phức tạp nhằm che giấu sự hiện diện. Các tệp mã độc được đổi tên thành những tiến trình hệ thống quen thuộc như svchost.exe hoặc explorer.exe và đặt trong thư mục hợp pháp như C:\Windows\System32. Chúng đồng thời sử dụng biểu tượng giống ứng dụng thật để đánh lừa người dùng và tránh bị phát hiện thủ công.Chuỗi tấn công của LockBit cho thấy mức độ tổ chức rất cao. Quá trình xâm nhập thường bắt đầu bằng việc truy cập từ xa thông qua công cụ như MeshAgent hoặc TeamViewer. Sau đó, nhóm sử dụng NSSM để thiết lập trojan điều khiển từ xa hoạt động dưới dạng dịch vụ và dùng PsExec để thực thi lệnh với quyền quản trị hệ thống.
Khi đã có quyền kiểm soát, LockBit triển khai giai đoạn trinh sát bằng các tiện ích dòng lệnh như net.exe, nltest.exe và query.exe để thu thập thông tin về cấu trúc miền và quyền truy cập của người dùng. Các hoạt động đánh cắp thông tin xác thực được thực hiện bằng công cụ TokenUtils.exe nhằm thao túng token truy cập và Sd1.exe để trích xuất vé Kerberos.
Cuối cùng, mã độc được phân phối hàng loạt qua Group Policy. Payload mã hóa dữ liệu, các tệp thực thi hợp pháp dùng để thực hiện sideloading và tập lệnh PowerShell được phát tán đến toàn bộ hệ thống, đảm bảo khả năng lây lan sâu và nhanh trong môi trường doanh nghiệp.
Phòng thủ gặp khó trước khả năng lẩn tránh của LockBit
LockBit không chỉ gây thiệt hại kinh tế nghiêm trọng mà còn khiến giới an ninh mạng liên tục bị đặt vào thế bị động trước khả năng thích nghi và lẩn tránh của chúng. Theo FBI, nhóm này đã tống tiền khoảng 500 triệu USD kể từ năm 2019. Người cầm đầu là Dmitry Khoroshev hiện đã bị truy tố. Dù từng bị lực lượng chức năng triệt phá vào đầu năm 2024 và công cụ LockBit 3.0 bị rò rỉ, các kỹ thuật tấn công vẫn tiếp tục được nhiều nhóm tội phạm mạng khác sử dụng lại.Trước làn sóng tấn công lan rộng, các hãng bảo mật đã xây dựng hệ thống phòng thủ đa lớp. Bao gồm phát hiện mã độc dựa trên chữ ký tệp như Ransom.LockBit và Heur.AdvML.B!100, phân tích hành vi như SONAR.Ransomware variants, cùng các biện pháp ứng phó với hành vi bất thường như sử dụng PsExec hoặc truy cập tiến trình LSASS.
Giám sát lưu lượng mạng được tăng cường để phát hiện tín hiệu điều khiển từ xa và hoạt động của các công cụ như MeshAgent hay TeamViewer. Tuy nhiên, hiệu quả phòng thủ vẫn phụ thuộc lớn vào khả năng phát hiện sớm tại điểm cuối, cũng như mức độ chủ động của tổ chức trong việc cập nhật chiến lược bảo mật theo hướng linh hoạt và thích ứng.
Một số chỉ báo tấn công (IoC)
| Tên tệp | Hash |
| Nssm.exe | f689ee9af94b00e9e3f0bb072b34caaf207f32dcb4f5782fc9ca351df9a06c97 |
| Tokenutils.exe | 5ca8e1d001a2c3800afce017424ca471f3cba41f9089791074a9cb7591956430 |
| sd1.exe | 0201a6dbe62d35b81d7cd7d7a731612458644b5e3b1abe414b0ea86d3266ab03 |
| access.exe | 011b31d7e12a2403507a71deb33335d0e81f626d08ff68575a298edac45df4cb |
| mpclient.dll | edcf76600cd11ef7d6a5c319087041abc604e571239fe2dae4bca83688821a3a |
| jarsigner.exe | 10f1a789e515fdaf9c04e56b8a5330cfb1995825949e6db8c9eaba4ea9914c97 |
| jli.dll | 086567b46fca2a27d404d9b61bdb482394e1591dc13f1302b813bb2ddf5e54cf |
| Tên miền độc hại | msupdate[.]updatemicfosoft[.]com |
Theo Cyber Press